VLAN

一、VLAN基础配置及Access接口

1.原理概述

早期的局域网是基于总线型结构的。总线型拓扑结构电话i有一根单电缆连接着所有主机，这种局域网技术存在着冲突域问题，及所有用户都在一个冲突域中，那么同一个时间内只有一台主机能发送信息，从任意设备发出的消息都会被其他所有主机接收到，用户可能收到大量不需要的报文；而且所有主机共享一条传输通道，任意主机之间都可以直接互相访问，无法控制信息的安全。

为了避免冲突域，同时扩展传统局域网以接入更多计算机，可以在局域网中使用二层交换机。交换机能有效隔离冲突域，但是由于所有计算机仍处于同一个广播域，任意设备都能接收到所有报文，不但降低了网络的效率，而且降低了安全性， 人们使用虚拟局域网即VLAN技术把一个物理的LAN在逻辑上划分为多个广播域。VLAN内的主机间可以直接通信，而VLAN间不能直接互通。这样，广播报文被限制子啊一个VLAN内，同时也提高了网络安全性。不同的VLAN使用不同的VLAN ID区分，VLAN ID的范围是0~4095，可配置的值为1~4094，0和4095为保留值。

Access接口是交换机上用来连接用户主机的接口。当Access接口从主机收到一个不带VLAN标签的数据帧时，会给该数据帧加上与PVID一致的VLAN标签（PVID可手工配置，默认是1，即所有交换机上的接口默认都属于VLAN1）。当Access接口要发送一个带VLAN标签的数据帧给主机时，首先检查该数据帧的VLAN IDs是否与自己的PVID相同，若相同，则去掉VLAN标签后发送该数据帧给主机；若不相同，直接丢弃该数据帧。

2.创建VLAN

vlan vlanid

vlan batch vlanid1 vlanid2……

3.配置Access接口

port link-type access

port default vlan vlanid

二、配置Trunk接口

1.原理概述

在以太网中，通过划分VLAN来隔离广播域和增强网络通信的安全性。以太网通常由多台交换机组成，为了使VLAN的数据帧跨越多台交换机传递，交换机之间互连的链路需要配置为干道链路（Trunk Link）。和接入链路不同，干道链路是用来在不同的设备之间（如交换机和路由器之间、交换机和交换机之间）承载多个不同的VLAN数据的，它不属于任何一个具体的VLAN，可以承载所有的VLAN数据，也可以配置为智能传输指定VLAN的数据。

Trunk端口一般用于交换机之间连接的端口，Trunk端口可以属于多个VLAN，可以接收和发送多个VLAN的报文。

当Trunk端口收到数据帧时，如果不包含802.1Q的VLAN标签，将打上该Trunk端口的PVID;如果该帧包含802.1Q的VLAN标签，则不改变。

当Trunk端口发送数据帧时，当该所发送帧的VLAN ID与端口的PVID不同时，检查是否允许该VLAN通过，若允许的话直接透传，不允许就直接丢弃；当该帧的VLAN ID与端口的PVID相同时，则剥离VLAN标签后转发。

2.配置Trunk端口

port link-type trunk

port trunk allow-pass vlan vlanid……

三、理解Hybrid接口的应用

1.原理概述

Hybrid接口既可以连接普通终端的接入链路又可以连接交换机间的干道链路，它允许多个VLAN的帧通过，并可以在出接口的方向将某些VLAN帧的标签剥掉。

Hybrid接口处理VLAN帧的过程如下：

a.收到一个二层帧，判断是否有VLAN标签。没有标签，则标上Hybrid接口的PVID，进行下一步处理；有标签，判断该Hybrid接口是否允许该VLAN的帧进入，允许则进入下一步处理，否则丢弃。

b.当数据帧从Hybrid接口发出时，交换机判断VLAN在本接口的属性是Untagged还是Tagged。如果是Untagged,先剥离帧的标签，再发送；如果是Tagged，则直接发送帧。

通过配置Hybrid接口，能够实现对VLAN标签的灵活控制，既能够实现Access接口的功能，又能够实现Trunk接口的功能。

2.实现组内通信，组间隔离

port link-type hybrid

port hybrid untagged vlan vlanid

port hybrid pvid vlan vlanid